Bedrijven over de hele wereld hebben nog maar 6 maanden totdat de General Data Protection Regulation (GDPR) definitief zijn intrede doet. Niet alle bedrijven staan hierin al even ver, mede omwille van een grijze zone in de GDPR. Zo wijst recent onderzoek van Trend Micro Incorporated, wereldwijd leider op het gebied van cybersecurity-oplossingen, uit dat er nog veel onduidelijkheid heerst omtrent de GDPR-regelgeving. Daarbij zaait met name het begrip ‘State of the Art’ beveiligingsvereisten verwarring.

Het onderzoek van Trend Micro laat zien dat de 1000 ondervraagde IT-managers wereldwijd verschillende definities hanteren van het begrip ‘State of the Art’ security.

  • Terwijl 30 procent van de ondervraagde bedrijven denkt dat zij aan de eis voldoen door security in te kopen bij een gerenommeerde marktleider, denkt 26 procent dat ze eraan voldoen door producten te gebruiken die goedgekeurd zijn door onafhankelijke derde partijen.
  • Daarnaast denkt 16 procent van de ondervraagde bedrijven dat het begrip ‘State of the Art’ verwijst naar producten die goed beoordeeld worden door analistenrapporten en 14 procent denkt dat het gaat om start-ups die innovatieve technologieën aanbieden.
  • Zorgwekkend genoeg houdt 12 procent van de IT-managers zich meer bezig met de prijs van beveiligingsproducten dan met de vraag of deze producten voldoen aan de GDPR-regelgeving.
  • Negen procent van de ondervraagden bleek helemaal niet in staat een definitie te geven van het begrip ‘State of the Art’ beveiliging.

Europa moet State of the Art verduidelijken

“Er zijn verschillende hindernissen die bedrijven moeten overwinnen voordat ze compliant zijn met de GDPR-eisen. Ontwaren wat ‘State of the Art’ nu eigenlijk betekent is slechts één van die hindernissen,” aldus Rik Ferguson, vice president security research bij Trend Micro. “De regelgevende instanties zouden verdere verduidelijking moeten bieden over wat 'State of the Art' precies betekent, zodat bedrijven in mei 2018 geen boete riskeren.”

Een ander obstakel dat bedrijven tegenkomen is de nieuwe termijn waarbinnen datalekken moeten worden gemeld bij instanties en klanten die door het datalek getroffen zijn.

  • Vier op tien bedrijven (37%) heeft nog steeds geen protocol opgesteld om klanten te informeren in geval van een datalek.
  • Geheel tegen de GDPR-richtlijnen in, heeft 21 procent van de bedrijven wel een protocol om instanties op de hoogte te stellen van een datalek, maar niet voor het informeren van hun klanten.
  • Veel bedrijven zijn momenteel ook onvoldoende in staat om tegemoet te komen aan het recht van de klant om vergeten te worden, ondanks het feit dat drie op vier (64%) van de bedrijven aangeeft dat hun klanten vragen om meer transparantie met betrekking tot hun gegevens.
  • 77 procent van de bedrijven heeft een protocol rondom het recht om vergeten te worden als het gaat om data die zij zelf verzamelen. Slechts 64 procent van de bedrijven kan dergelijke verzoeken verwerken over data die partners verzamelen.
  • Daarnaast kan slechts 63 procent verzoeken verwerken rondom data die door hun cloud service providers worden opgeslagen en kan 60 procent verzoeken inwilligen die gaan over data die door third parties worden opgeslagen.

Meer dan technologie: ook bewustmaking en beleid zijn cruciaal

Het gaat echter niet alleen om technologie. Investeren in kennis is ook een prioriteit vanuit de GDPR, want werknemers zijn vaak nog steeds de zwakste schakel. Uit het onderzoek blijkt dat 63% van de organisaties nog niet bezig is met bewustmaking bij medewerkers. Ook heeft slechts 33% al een nieuw beleid opgesteld ten aanzien van gegevensbescherming. En dat zou toch de eerste stap moeten zijn…

"Het opleiden van medewerkers en het updaten van het beleid ten aanzien van gegevensbescherming is een positieve ontwikkeling. Echter, als de juiste beveiligingsmaatregelen om datalekken te voorkomen ontbreken, is er geen sprake van een cybersecuritystrategie," vervolgt Ferguson.

"Er bestaat geen silver bullet voor cybersecurity: er zijn meerdere technieken nodig om cyberdreigingen het hoofd te bieden. Elk bedrijf dat zich dit niet terdege beseft, voldoet simpelweg niet aan de GDPR-regelgeving.”